Transformez vos insights en actions : Bitwarden Access Intelligence est désormais disponible En savoir plus >

Ressources Bitwarden

Atteignez la conformité SOC 2 des mots de passe avec Bitwarden

Les entreprises qui fournissent des services à d’autres organisations et cherchent à renforcer leur posture de sécurité de l’information réalisent souvent un audit Service Organization Control 2 (SOC 2), en accordant une importance croissante au respect des exigences relatives aux mots de passe. Le processus de certification SOC 2 implique de démontrer l’existence de contrôles d’accès aux systèmes adéquats afin de garantir que les données sensibles restent protégées et sécurisées à tout moment. Les rapports SOC 2 sont souvent demandés par les clients et les partenaires commerciaux des fournisseurs de solutions externalisées, ce qui souligne l’importance de la conformité SOC 2. De nombreuses entreprises cherchant à atteindre la conformité SOC 2 s’appuient sur des solutions comme un gestionnaire de mots de passe conforme à SOC 2 pour les aider à satisfaire aux exigences.

Consultez le Centre de ressources pour découvrir d’autres guides sur la conformité à d’autres normes de sécurité.

Résumé des critères des services de confiance SOC 2

Les rapports SOC 2 concernent les organisations de services et portent sur les contrôles liés à des aspects tels que la sécurité et la confidentialité. L’American Institute of Certified Public Accountants (AICPA) a introduit le rapport Service Organization Control, ou SOC 2 afin de contribuer à évaluer les sociétés de services – c’est-à-dire les établissements financiers, les prestataires de soins de santé, les fournisseurs de services cloud et les fournisseurs SaaS – ainsi que leur capacité à maintenir des contrôles solides « relatifs à la sécurité, à la disponibilité et à l’intégrité du traitement des systèmes … pour traiter les données des utilisateurs, ainsi qu’à la confidentialité et au respect de la vie privée des informations traitées par ces systèmes ». 

SOC 2 comprend deux types de rapports :

  • Type 1 : rapports sur la description du système d’une entreprise et la pertinence de la conception de ses contrôles.

  • Type 2 : rapports sur la description du système d’une entreprise et la pertinence et l’efficacité opérationnelle de ses contrôles.

Lors des audits SOC 2, les contrôles d’une organisation de services sont évalués afin de garantir leur conformité au cadre de sécurité. Les deux types de rapports SOC 2 détaillent la manière dont les entreprises traitent les données, mais le rapport SOC 2 de Type 2 décrit plus en profondeur les contrôles de sécurité des données en place, notamment la gestion des identifiants. Les deux types de rapports sont réservés à certaines entités (par exemple, les clients ou les auditeurs). Toutefois, les entreprises peuvent également produire un rapport SOC 3 accessible au public, qui résume certains des critères de sécurité des données figurant dans le rapport SOC 2.

Aperçu du processus de certification SOC 2

Les entreprises souhaitant obtenir la certification SOC 2 doivent réussir un audit mené par un représentant accrédité par l’AICPA. Les cinq critères des services de confiance constituent les composantes fondamentales du cadre de conformité SOC 2, notamment la sécurité, la disponibilité, l’intégrité du traitement, la confidentialité et le respect de la vie privée. D’abord élaborés en 2017, puis mis à jour pour la dernière fois fin 2022 afin de « refléter un environnement de technologies, de menaces et de vulnérabilités en constante évolution … l’évolution des exigences légales et réglementaires et des attentes culturelles associées en matière de respect de la vie privée », et de « traiter la gestion des données, en particulier lorsqu’elle est liée à la confidentialité », ces critères sont les suivants :

  • Sécurité - Les informations et les systèmes sont protégés contre les accès non autorisés, la divulgation non autorisée d’informations et les dommages aux systèmes susceptibles de compromettre la disponibilité, l’intégrité des données, la confidentialité et le respect de la vie privée des informations ou des systèmes, et d’affecter la capacité de l’entité à atteindre ses objectifs.

  • Disponibilité - Les informations et les systèmes sont disponibles pour fonctionner et utilisés afin d’atteindre les objectifs de l’entité.

  • Intégrité du traitement - Le traitement par le système est complet, valide, précis, effectué en temps voulu et autorisé afin d’atteindre les objectifs de l’entité.

  • Confidentialité - Les informations désignées comme confidentielles sont protégées afin d’atteindre les objectifs de l’entité.

  • Respect de la vie privée - Les informations personnelles sont collectées, utilisées, conservées, divulguées et éliminées afin d’atteindre les objectifs de l’entité.

Les contrôles internes jouent un rôle essentiel pour garantir la conformité aux critères des services de confiance lors des audits.

Les entreprises ne doivent se conformer qu’aux principes qui s’appliquent à elles. Par exemple, le principe de disponibilité s’applique généralement aux entreprises qui fournissent à leurs clients des services de colocation, de centre de données, SaaS ou d’hébergement.

Cela pourrait aussi vous intéresser :

Le principe de sécurité : contrôles de sécurité SOC 2 et exigences relatives aux mots de passe

Le principe de sécurité s’applique à la plupart des entreprises qui cherchent à atteindre la conformité SOC 2, en mettant l’accent sur la protection des données clients. La majorité des exigences du principe de sécurité figurent dans la section CC6 des critères des services de confiance, qui détaille également les exigences SOC 2 relatives aux mots de passe. Les sections suivantes montrent comment un gestionnaire de mots de passe peut aider à satisfaire de nombreuses exigences clés.

Les contrôles SOC 2 jouent un rôle important pour limiter les violations de données et protéger les informations sensibles.

Gestion des identifiants d’infrastructure pour protéger les données client

« L’entité met en œuvre des logiciels, une infrastructure et des architectures de sécurité des accès logiques pour les actifs informationnels protégés afin de les protéger contre les événements de sécurité et d’atteindre ses objectifs. » - CC6.1 (p. 34-35)

Les entreprises doivent démontrer comment elles gèrent les identifiants d’infrastructure et de logiciels, y compris la suppression des accès lorsqu’ils ne sont plus nécessaires ou requis. Avec un gestionnaire de mots de passe, les administrateurs peuvent facilement automatiser les accès, attribuer des rôles et limiter les utilisateurs à un accès en lecture seule aux identifiants système. Le contrôle d’accès granulaire permet aux administrateurs de masquer les identifiants afin d’empêcher la copie de mots de passe, graines TOTP ou champs personnalisés.

Lors d’un audit SOC 2, un CPA accrédité évalue la conception et l’efficacité opérationnelle des contrôles d’une organisation afin de s’assurer qu’ils sont conformes aux normes requises pour la protection des données sensibles.

Les entreprises doivent chiffrer leurs données et protéger les clés de chiffrement en permanence. Grâce à un gestionnaire de mots de passe chiffré de bout en bout et à connaissance zéro utilisant le chiffrement AES 256 bits, les entreprises protègent leurs identifiants et les informations sensibles qui peuvent être partagées entre employés, comme des documents financiers. De plus, PBKDF2 SHA-256 renforce la protection des clés de chiffrement en limitant la récupération des clés au seul utilisateur qui se connecte avec son mot de passe principal.

Intégration et succession

« Avant d’émettre des identifiants système et d’accorder un accès au système, l’entité enregistre et autorise les nouveaux utilisateurs internes et externes dont l’accès est administré par l’entité. Pour les utilisateurs dont l’accès est administré par l’entité, les identifiants système sont supprimés lorsque leur accès n’est plus autorisé. » - CC6.2 (p. 36)

Les entreprises doivent montrer comment elles enregistrent et authentifient les nouveaux utilisateurs, y compris les niveaux d’accès. Avec un gestionnaire de mots de passe, les administrateurs peuvent connecter leur service d’annuaire (LDAP) afin de simplifier l’intégration et la succession des utilisateurs. Les utilisateurs et groupes du LDAP de votre entreprise se synchronisent avec l’organisation de votre gestionnaire de mots de passe, en reproduisant la même structure. Mieux encore, chaque fois qu’un nouvel utilisateur est ajouté au LDAP, il est également créé dans le gestionnaire de mots de passe ; et inversement, il est supprimé lorsqu’il est déprovisionné depuis le LDAP.

Les entreprises doivent autoriser l’accès aux actifs protégés. Un gestionnaire de mots de passe doté de l’authentification unique (SSO) permet à votre fournisseur d’identité existant de proposer l’authentification aux utilisateurs du gestionnaire de mots de passe. Les administrateurs peuvent définir des politiques de sécurité de mots de passe exigeant que les utilisateurs se connectent via la méthode d’authentification unique pour accéder aux identifiants.

Contrôle d’accès granulaire

« L’entité autorise, modifie ou supprime l’accès aux données, aux logiciels, aux fonctions et aux autres actifs informationnels protégés en fonction des rôles, des responsabilités ou de la conception et des modifications du système, en tenant compte des concepts de privilège minimal et de séparation des tâches, afin d’atteindre ses objectifs. » - CC6.3 (p. 36)

Les entreprises doivent démontrer l’existence de contrôles d’accès basés sur les rôles (RBAC). Avec un gestionnaire de mots de passe, les administrateurs peuvent définir des types d’utilisateurs et créer des rôles personnalisés afin d’attribuer un contrôle granulaire et des autorisations utilisateur pour les composants du gestionnaire de mots de passe. Les contrôles d’accès basés sur les rôles peuvent être configurés pour des fonctions telles que la gestion des utilisateurs, l’accès aux journaux d’événements ou l’import/export de données.

Vous vous demandez comment renforcer davantage la sécurité de votre entreprise ? Découvrez Bitwarden Secrets Manager pour sécuriser vos secrets développeur.

Découvrez Bitwarden pour soutenir la conformité SOC 2 et les exigences relatives aux mots de passe

L’ajout d’un gestionnaire de mots de passe, tel que Bitwarden, peut démontrer aux auditeurs SOC 2 l’engagement des prestataires de services à protéger les données client. Bitwarden offre une sécurité de niveau entreprise, réalise régulièrement des audits de sécurité par une tierce partie et respecte les principales normes de confidentialité et de sécurité, y compris SOC 2.

Bitwarden aide les organisations de services à répondre aux exigences de conformité SOC 2 en garantissant la mise en place de contrôles efficaces pour protéger les données.

Profitez d’un essai gratuit Enterprise avec accès complet pour découvrir comment Bitwarden peut aider les prestataires de services à se préparer à un audit de sécurité SOC 2 et à répondre aux exigences SOC 2 relatives aux mots de passe.

À lire aussi :

Profitez dès maintenant d’une sécurité des mots de passe puissante et fiable. Choisissez votre offre.

Équipes

Protection résiliente pour les équipes en croissance

$4
par mois / par utilisateur facturé annuellement
Commencer l’essai gratuit
Aucun compromisPartagez des données sensibles en toute sécurité avec des collègues, à travers les départements ou l'ensemble de l'entreprise
  • Partagez vos identifiants en toute sécurité
  • Suivez l'activité grâce aux journaux d'événements
  • Synchronisez votre répertoire existant
  • Automatisez le provisionnement avec SCIM
Inclut des fonctionnalités premium pour tous les utilisateurs

Entreprise

Fonctionnalités avancées pour les grandes organisations

$6
par mois / par utilisateur facturé annuellement
Commencer l’essai gratuit
Protection maximaleUtilisez des fonctionnalités avancées, notamment des politiques d'entreprise, la connexion sans mot de passe unique (SSO) et la récupération de compte.
  • Contrôle d'accès granulaire
  • Intégration SSO sans mot de passe
  • Possibilité d'auto-hébergement
  • Access Intelligence risk remediationnouveau
  • Plan familial gratuit pour tous les utilisateurs
Inclut des fonctionnalités premium et un plan familial gratuit pour tous les utilisateurs

Obtenez un devis

Pour les entreprises comptant des centaines ou des milliers d'employés, veuillez contacter notre service commercial pour obtenir un devis personnalisé et voir comment Bitwarden peut vous aider :

  • Réduire les risques de cybersécurité
  • Augmentez la productivité
  • Intégrez-vous en toute transparence
Bitwarden s'adapte à toutes les tailles d'entreprise pour garantir la sécurité des mots de passe au sein de votre organisation.
Contacter le service commercial

Les prix sont indiqués en USD et sont basés sur un abonnement annuel. Les taxes ne sont pas incluses.